Microsoftは米国時間5日、当初の予定日よりも数日前に、Windowsの深刻なセキュリティ脆弱性を修復するパッチをリリースした。
同社のウェブサイトによれば、セキュリティアップデートの検証が予想以上に早く完了したことから、月例パッチリリースのサイクルより前にこれをリリースする決定を下したという。Microsoftでは、「すぐにでもパッチを提供すべきというユーザーの強い要望を受けて、アップデートのリリースを早めた」と説明している。
本来は米国時間10日に発表される予定だったセキュリティ情報「MS06-001」は、Windowsが「Windows Meta File(WMF)」イメージを処理する方法に存在する脆弱性を修復するもの。これが2006年最初のアップデートとなる。同脆弱性は先週発見され、Microsoftが「コンピュータユーザーに対する悪質かつ犯罪的な攻撃」と呼ぶ行為に悪用される機会が増している。
専門家は、Microsoftに至急パッチをリリースするよう求めてきた。パッチが適用できない状況が続くことについて、専門家らは、サイバー犯罪者がこの脆弱性を悪用して、ユーザーに巧妙な攻撃を仕掛けるおそれがあると、指摘している。
この問題をめぐっては、一部のセキュリティ専門家が、ヨーロッパのプログラマIlfak Guilfanovが開発した非公式パッチの適用をユーザーに推奨するという異例の事態まで起こっていた。
脅威はコントロール下に
Microsoftは、Windowsユーザーを狙った広範な攻撃はまだ確認されていないが、ユーザーにはアップグレードを促し、同問題を「緊急」と評価している。
MicrosoftのSecurity Response Centerでディレクターを務めるDebby Fry Wilsonはインタビューに応じ、「WMFの欠陥を悪用する攻撃は非常に現実的なもので、攻撃や脅威が進化するスピードも速い。それでも当社では一貫して、感染率を軽度〜中程度と分析している」と話した。「しかし、同脆弱性の脅威は差し迫っており、ユーザーには一刻も早くアップデートを行うよう勧告している」(Wilson)
セキュリティ専門家の中には、Microsoftがパッチのリリースを前倒ししたことを評価する者もいる。「だれもが、大規模な攻撃が始まる前にパッチがリリースされることを願っていた。今回のMicrosoftの対応は、うまくいっているように思える。上出来と言えるのではないだろうか」と述べるのは、セキュリティ企業F-SecureのチーフリサーチオフィサーMikko Hypponenだ。
カリフォルニア州フレズノにある会計事務所Tamiyasu, Smith, Horn and Braun Accountancy Corporationのネットワーク管理者Susan Bradleyは、Microsoftのパッチの検証を開始し、米国時間6日夜にはこれを適用する予定だという。「Microsoftがユーザーの声に答えてくれたことを、非常に嬉しく思う」(Bradley)
